Міністерство освіти і науки, молоді та спорту України
НУ «Львівська політехніка»
Курсова робота
з предмету «Менеджмент у сфері захисту інформації»
«Побудова системи менеджменту інформаційної безпеки банку»
2.5. Опрацювання ризиків. Побудова систем інформаційної безпеки для нейтралізації можливих загроз.
Джерело загрози
Механізм реалізації загрози
Ранжування джерела загроз
Ранжування вразливості
Визначення величини ризику (ймовірність- збиток)
Заходи щодо подолання ризиків
Ресурси
Повторна оцінка ризику
1) Інформація про операції і угоди здійсненні клієнтами банку
Порушення конфіденційності інформаційного активу
Касир банку
Копіювання з допомогою під-ключення до зов-нінього пристрою (флешки) через порт до баз даних
3*4*3= 0,288
3*4*2= 0,192
7*5=35
Блокування зчитування зовнішніх накопичувачів під час робочого дня.
ПЗ системного адміністратора яке підпорядковує інші користувачі. 119$
15
Роздрук даних через БФП
3*4*3= 0,288
3*4*2= 0,192
7*5=35
При роздруці йде запит до адміністратора щодо роздруку документів.
15
Внесення шпигун-ського програм-ного забезпечення через зовнішні накопичувальні пристрої
3*4*3= 0,288
3*4*2= 0,192
5*5=25
Блокування зчитування зовнішніх накопичувачів під час робочого дня;
9
Підслуховування спілкування іншого касира з клієнтами
3*4*2= 0,192
2*4*2= 0,128
5*3=15
Касові приміщення розділені звукоізолюючими перегородками.
Звукоізулююча стіна (ширма) до 250$
5
Працівники банку
Підглядання даних з монітора під час службових обов'язків
2*4*2= 0,128
2*2*2= 0,064
5*1=5
При роботі тех.персоналу, касир блокує комп’ютер та закриває касовий апарат.
3
Встановлення радіозакладок у місцях оброблення інформації
2*4*3= 0,256
3*2*2= 0,096
5*5=25
Використання кодерів і вокодерів. Використання генераторів шуму.
У кожній кімнаті крім санвузлів і залу для відві-дувачів є гене-ратор шуму (850$). І до кожного телефону підключен-ний скремблер (950$)
9
Системний адміністратор
Створення вразливостей в системі для подальшого віддаленого проникнення (доступ до налаштування засобів захисту системи)
4*4*3= 0,384
3*4*3= 0,288
9*5=45
Вибір в адміні-стратори особи яка має великий стаж роботи і якій можна повністю довірити. Складання договору щодо зберігання і не розголошення секретної інформації.
Тренінги з персона-лом 1 раз в два тижні 200$15 хв щодня для оновлення антивірусних баз
21
Хакери
Копіювання шляхом проникнення на сервер через відкритий порт (наявність доступу до Інтернету)
3*4*3= 0,256
3*3*3= 0,216
5*5=25
Закривання відкритих не використовуючих портів.
200$15 хв щодня для оновлення антивірусних баз
9
Внесення шпигунського програмного забезпечення через Інтернет
3*4*3= 0,256
3*3*3= 0,216
7*5=35
Використання ліцензованих антивірусних пакетів і брандмауерів.
15
Ураження програмного забезпечення комп’ютерними вірусами
3*4*3= 0,288
3*3*3= 0,216
7*5=35
21
Отримання доступу до інформації через програмний збій з подальшим її копіюванням
3*4*3= 0,288
3*3*3= 0,216
3*3=9
При збої роботи комп’ютерів, блокувати будь-який доступ до баз даних.
Програми які блокують і дають доступ до певних баз данних після введен-ня паролю 175$
3
Кримінальні структури
Втрата внаслідок проникнення злочинця під виглядом клієнта банку
2*4*3= 0,256
3*2*2= 0,096
7*3=21
В банку ведеться відео нагляд, тому видно дії і поведінку клієнтів в банку.
Комплект відеоспостереження 1750$
5
Несанкціонований перегляд інформації за рахунок візуально-оптичного каналу
2*4*3= 0,256
3*2*2= 0,096
5*5=25
Приміщення де є комп’ютери на яких зберігається такий актив в елек-тронному вигляді, повинні бути об-ладнані жалюзями або шторами.
Штори і жалюзі до 250$
9
Несанкціоноване підключення до технічних засобів
2*4*3= 0,256
3*2*2= 0,096
5*5=25
Перевірка перебоїв і правильного функціонування технічних приладів (комп’ютерів, телефонів, факсу).
Працівник служби СБ щогодин...